Popularne programy typu password manager umożliwiają względnie bezpieczne zapamiętanie wielu unikalnych i skomplikowanych haseł do różnych serwisów i stron WWW bez konieczności ich zapamiętywania. Ale mają jedną poważną wadę – użytkownik musi korzystać z pojedynczego głównego hasła, które w wypadku złamania daje hakerowi dostęp do wszystkich chronionych zasobów.

Grupa naukowców z University of Wisconsin wpadła na pomysł w jaki sposób można wyeliminować tą słabość. W ramach projektu NoCrack rozwijają oni koncepcję stworzenia oprogramowania, które istotnie utrudni pracę hakerom i spowoduje, że standardowe metody łamania haseł przy wykorzystaniu analiz typu „brute force” staną się nieopłacalne.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła

Publiczna prezentacja szczegółów tego mechanizmu została zaplanowana na 19-go maja bieżącego roku w San Jose (Kalifornia) na konferencji IEEE Symposium on Security and Privacy.

Jak wyjaśnia Rahul Chatterjee, jeden z współautorów koncepcji, idea opiera się na oczywistym założeniu, że haker próbujący włamać się na witrynę lub komputer nie wie, jakie hasła chronią dostępy do określonych zasobów, a jedyne co mu pozostaje to próbować je wykraść lub odgadnąć. Ale zestawy haseł chronione przez specjalizowany program przechowujący informacje w postaci jednego zaszyfrowanego pliku chronionego przez główne hasło. Jeśli plik zostanie wykradziony przez hakera, może zostać przeanalizowany przy zastosowaniu metody typu „brute force attack” przy wykorzystaniu programu automatycznie odgadującego hasło. Bombarduje on cel setkami tysięcy losowo tworzonych haseł i z reguły wcześniej czy później wykrywa jakie hasło jest prawidłowe. Jeśli to się uda, haker uzyskuje dostęp do wszystkich zaszyfrowanych haseł i może je wykorzystać, na przykład zalogować się do interesującej go witryny.

Mechanizm NoCrack, przy każdej próbie odgadnięcia głównego hasła udaje, że zakończyło się ono powodzeniem i generuje fałszywy zestaw "odszyfrowanych" haseł mających naturalną, prawdopodobna postać, a nie formę śmieciowego zbioru przypadkowych znaków. Haker nie wie, że są to fałszywki, a jedyną metodą pozwalającą na sprawdzenie czy hasło działa jest próba zalogowania się do odpowiedniej witryny, wyjaśnia Rahul Chatterjee. Taka weryfikacja jest pracochłonna i praktycznie niemożliwa, zwłaszcza, że witryny często akceptują ograniczoną liczbę podejść i potrafią, np. po trzykrotnym podaniu niewłaściwego hasła, zablokować dostęp do zasobów.

Znana jest koncepcja podobnego narzędzia noszącego nazwę Kamouflage. Jak twierdzą autorzy NoCrack, używa ono do generowania fałszywek innego, mniej doskonałego mechanizmu. W efekcie sprawny haker, po dokładnym przeanalizowaniu fałszywek, może odgadnąć prawidłowe, główne hasło. NoCrack nie popełnia takiego błędu, generując fałszywki przy użyciu efektywnych algorytmów należących do grupy NLE (Natural Language Encoding).

Jak przyznaje Rahul Chatterjee, również w wypadku NoCrack pojawił się problem. Co się stanie, jeśli użytkownik sam poda błędne hasło. Oprogramowanie wygeneruje fałszywkę i spowoduje, że nie będzie się mógł załogować na własne konto.

Autorzy NoCrack starają się znaleźć rozwiązanie tego problemu. Uważają, że można by stworzyć hash głównego hasła (czyli jego kryptograficzny skrót) i połączyć go z obrazem wyświetlanym w momencie wprowadzania hasła. Użytkownik mógłby wtedy zauważyć, że wyświetlony obraz jest nieprawidłowy. Haker stałby na straconej pozycji, gdyż nie mógłby tego ocenić.

Autorami koncepcji NoCrack są Rahul Chatterjee, Joseph Bonneau, Ari Juels oraz Thomas Ristenpart z University of Wisconsin.